-
Re:avast! 4.5 Final
Сообщение от
Andrey
Тест проводил AV-Test.org.
Источник PC Magazine/Russian Edition 10/2004 стр. 116
Довольно интересная статья "Антивирусные утилиты. Почему ваша антивирусная программа не остановит следующую атаку."
Могу выслать.
Давай статью
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:avast! 4.5 Final
Сообщение от
Geser
Давай статью
Отправлено на [email protected]
PDF ~ 4 MB.
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
Статья бессистемная. Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
Бета-сигнатура - предварительная сигнатура (вирус обнаруживается, но лечение невозможно), служит для предотвращения заражения еще чистых (незараженных машин) и распространения (размножения) на уже зараженных. Бета-сигнатуры выпускают многие AV компании (в т.ч. и "любимый всеми" Касперский), но официально об этом особо не распространяются. Косвенную информацию можно найти на сайте AV программы (характерно для KAV, NAV). И т.д и т.п.
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на http://antivirus.about.com/cs/allabo...doomddos_p.htm . Там более интересные и полные результаты.
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
a) Либо через Live-Update оперативность обновления у Symantec выше.
в) Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
a) Либо через Live-Update оперативность обновления у Symantec выше.
На сайте заявлено что Live-Update обновляется раз в неделю. С пол года назад Symantec ещё стоял у меня на работе, и я могу сказать что обновлялся он не чаще чем раз в пару дней.
Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
Вот это уже ближе к истине Показуа
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Вот это уже ближе к истине
Показуа
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
-
-
Re:avast! 4.5 Final
В той статье не эти ли цифры использованы:
Andreas Marx
09.11.2004 15:21
Test: Reaktionszeiten von Antiviren-Herstellern
Оригинал:
http://www.pcwelt.de/news/sicherheit/104653/index2.html
Перевод мой.
Тест: Время реакции производителей антивирусов.
Время реакции: Win32/Bagle.BB
----------------------------------------------------------------------
BB-вариант впервые получен Messagelabs 29 октября 2004 года вскоре после 6:00 часов (GMT)
К этому времени его определяли Bitdefender (Win32.Bagle.10.Gen@mm), F-Prot ('возможно, неизвестный вирус'
и Sophos (W32/Bagle-Gen). McAfee также распознавала и удаляла характерные для Bagle письма.
Собственно червь стал определяться лишь после выпуска обновления.
В пик эпидемии Messagelabs останавливала около 170.000 зараженных писем в час.
У других антивирусов обычные обновления были выпущены в следующее время:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Ikarus, 29.10.2004, 07:04, I-Worm.GEN
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
Clam-AV, 29.10.2004, 07:34, Worm.Bagle.AT
Panda, 29.10.2004, 08:04, W32/Bagle.BC.worm
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AQ
Avast, 29.10.2004, 08:47, Win32:Beagle-AQ [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AX
Antivir, 29.10.2004, 09:20, Worm/Bagle.AQ.2
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AY
Norman, 29.10.2004, 09:38, Bagle.AQ@mm
Quickheal, 29.10.2004, 09:47, W32.Bagle.AT
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:57, W32/Bagle.bb@MM
Command, 29.10.2004, 11:14, W32/Bagle.AP@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AV@mm
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AQ@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.AX-mm
Загружаемые вручную бета-сигнатуры были готовы и раньше:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 08:20, W32/Bagle.BC.worm
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:11, W32/Bagle.bb@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AV@mm
Время реакции: Win32/Bagle.BC
----------------------------------------------------------------------
Червь Bagle.BC стартовал явно позже. По данным Messagelabs первые экземпляры были перехвачены около 14:50 часов (GMT).
О большом массовом вбросе говорить нельзя, т.к. нами было зафиксировано "только" до пяти тысяч вирусных писем в час.
Bagle.BB и Bagle.BC сходны, многие антивирусы детектировали оба варианта одним обновлением.
Вообще без обновления определяли его Bitdefender
(BehavesLike:Win32.AV-Killer), F-Prot ('возможно, неизвестный вирус' и Sophos (W32/Bagle-Gen)
Как и для Bagle.BB, McAfee распознавал и блокировал характерные для Bagle письма. Собственно червь стал определяться лишь после выпуска обновления.
Clam-AV на время выхода статьи (09.11.2004 15:21) еще не распознавал этот вирус.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AP
Avast, 29.10.2004, 08:47, Win32:Beagle-AR [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AY
Antivir, 29.10.2004, 09:20, Worm/Bagle.AP
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AZ
Norman, 29.10.2004, 09:38, Bagle.AR@mm
Panda, 29.10.2004, 10:08, W32/Bagle.BD.worm
Command, 29.10.2004, 11:14, W32/Bagle.AO@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AU@mm
E-Trust, (CA Engine) 29.10.2004, 13:16, Win32/Bagle.AP.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AP@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.BB-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bc@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AN
Ikarus, 30.10.2004, 00:15, I-Worm.Bagle.AV
Quickheal, 30.10.2004, 01:42, W32.Bagle.AN
Загружаемые вручную бета-сигнатуры были готовы в следующее время:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 09:48, W32/Bagle.BD.worm
McAfee, 29.10.2004, 10:11, W32/Bagle.bc@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AU@mm
Trend Micro, 29.10.2004, 15:00, WORM_BAGLE.AN
Время реакции: Win32/Bagle.BD
----------------------------------------------------------------------
Messagelabs сообщила о распространении Bagle.BD около 12:00 часов. В пике
зафиксировано около 24 000 копий червя в час.
Bitdefender (Win32.Bagle.10.Gen@mm) и Sophos (W32/Bagle-Gen) также
разпознавали червя без обновления.
Так же мог распознавать вирусные письма и блокировать заражение через е-мейл McAfee.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Kaspersky, 29.10.2004, 09:45 I-Worm.Bagle.au
Panda, 29.10.2004, 10:08, W32/Bagle.BE.worm
Dr. Web, 29.10.2004, 10:21, Win32.HLLM.Beagle.18848
Clam-AV, 29.10.2004, 10:27, Worm.Bagle.AX
F-Prot, 29.10.2004, 10:40, W32/Bagle.AQ@mm
Avast, 29.10.2004, 10:52, Win32:Beagle-AS [Wrm]
Ikarus, 29.10.2004, 10:58, I-Worm.Bagle.AU
AVG, 29.10.2004, 11:09, I-Worm/Bagle.AZ
Command, 29.10.2004, 11:53, W32/Bagle.AQ@mm
Antivir, 29.10.2004, 12:08, Worm/Bagle.AT
Virusbuster, 29.10.2004, 12:14, I-Worm.Bagle.BA
E-Trust (VET Engine), 29.10.2004, 12:46, Win32.Bagle.AR
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
Norman, 29.10.2004, 13:18, Bagle.AR@mm
F-Secure, 29.10.2004, 14:31, I-Worm.Bagle.au
Fortinet, 29.10.2004, 16:11, W32/Bagle.AW-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bd@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AU
Quickheal, 29.10.2004, 19:04, W32.Bagle.AU
Symantec, 29.10.2004, 20:34, W32.Beagle.AW@mm
RAV, 31.10.2004, 23:11, Win32/Bagle.BD@mm
Бета-сигнатуры были готовы так:
Hersteller, Datum, Uhrzeit, Name
Panda, 29.10.2004, 10:06, W32/Bagle.BE.worm
McAfee, 29.10.2004, 11:30, W32/Bagle.bd@MM
Symantec, 29.10.2004, 11:39, W32.Beagle.AW@mm
F-Secure, 29.10.2004, 14:00, I-Worm.Bagle.au
Trend Micro, 29.10.2004, 17:26 WORM_BAGLE.AU
-
-
Re:avast! 4.5 Final
Сообщение от
Geser
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
Да. Из неофициального интервью одного из работников Касперски Лаб (оригинал здесь ):
-----------------------------------------------------------------------
Докладываю. (Это бyдет пpочитать интеpесно многим. Здесь и о дpyгих
антивиpyсных компаниях).
Мною был задан следyющий вопpос: "Если вам пpишлют некий виpyс (он может быть пpостым, сложным - неизвестно, абстpактный). Чеpез какой пеpиод он ГАРАHТИРОВАHО должен быть добавлен в новый апдейт? То есть 3 часа, 6 часов, 9 часов, несколько сyток? Есть y вас такой гаpантиpованный сpок. Виpyс вам пpислали, а его неделю не добавляют, напpимеp. Расскажи, пожалyйста, пpо политикy".
Ответ: "Все очень пpосто: если письмо от пользователя, то оно добавится в течении тpех часов. Иначе дежypного дятла/дятлов взъе#yт. Если это обмен коллекциями, то может и тpи месяца пpолежать. Hо и за это деpyт сильно".
Вопpос: "А если виpyс очень сложный? За тpи часа не пpоанализиpовать".
Ответ: "А никто и не анализиpyет полностью. Главное задетектить. А потом pазбеpемся. Апдейты с сегодняшнего дня выходят pаз в час"
(Подчеpкнy: *ВHИМАHИЕ* ! Апдейты с сегодняшнего дня выходят РАЗ В ЧАС!)
Вопpос: "Hy а лечить? В базе может отсyтствовать алго лечения? Главное - детект? А лечилкy добавить чеpез несколько часов, когда все yже полностью pазобpано бyдет?".
Ответ: "Лечение вообще pедко пишyт. Только когда эпидемии... Сейчас же в основном чеpви, да тpояны. Там одно лечение - delete. И лечение можно добавлять когда yгодно. Как пpавило это делается по запpосy".
-----------------------------------------------------------------------
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, здесь .
-
-
Re:avast! 4.5 Final
Сообщение от
Alexey
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например,
здесь .
Сигнатура червяка была добавлена в этом дополнении:
drwtoday.vdb (2004-02-18 13:45:00)
... Win32.HLLM.Foo.41984, ...
В последнее время дрвебовцы увеличили число вирус-аналитиков. Это чувствуется.
-
-
Re:avast! 4.5 Final
Вот данные выше ближе к истине. В основном лидируют КАВ и ДрВеб, как и предпологалось. Семантек как и предпологалось один из последних.
-
-
Re:avast! 4.5 Final
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
Geser твоя любовь к Касперскому, просто не скрываема. Фирма, в которой ты работаешь, случайно не является представителем ЛК на территории Израиля? В Израиле так много IT компаний, неужели нет своего родного антивируса?
-
-
Re:avast! 4.5 Final
Сообщение от
Andrey
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
Выше дали не один пример, а 3.
Geser твоя любовь к Касперскому, просто не скрываема.
Любовь здесь ни при чём. Лично у меня стоит ДрВеб. Но во многом ЛК действительно стоят на первом месте.
-
-
Visiting Helper
- Вес репутации
- 73
Re:avast! 4.5 Final
Сообщение от
Andrey
Судя по всему использовали
http://virusscan.jotti.dhs.org ? Но на данном сайте (как и на
http://www.virustotal.com) используются старые антивирусные движки (обновляются только антивирусные базы).
P.S.: А придраться можно к любому антивирусу - NOD 32 (к примеру) не знает PE-SHIELD.
Проверил то же на _http://onlinescan.avast.com
-------------------------------------------------------
calc_asp.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 10.5 kB
Scan time: 0s 36ms
Scanned speed: 287.2 kB/s
------------------------------------------------------
calc_pesh.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 18.0 kB
Scan time: 0s 15ms
Scanned speed: 1.1 MB/s
------------------------------------------------------
calc_pkl.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 11.5 kB
Scan time: 0s 29ms
Scanned speed: 386.8 kB/s
-----------------------------------------------------
calc_upx.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 6.0 kB
Scan time: 0s 23ms
Scanned speed: 258.3 kB/s
--------------------------------------------------------
Лапшу вешают...
-
-
Re:avast! 4.5 Final
Сообщение от
azza
Проверил то же на _http://onlinescan.avast.com
Да у них там совсем глючный сканер какой-то! ;D
Даже не упакованные вирусы, имеющиеся у них в базе, не видит! ;D
-